In data 24 maggio 2018 è stato pubblicato sulla Gazzetta Ufficiale il nuovo regolamento generale sulla protezione dei dati personali, noto come GDPR (Gazz. Uff. 24 maggio 2018, num. 1000), entrato in vigore il giorno successivo. Ha apportato delle modifiche al Codice del lavoro e ha regolamentato il monitoraggio visivo e il controllo della posta elettronica aziendale. Nel corso dei lavori preparatori al regolamento, si è prestata attenzione alla necessità di includere il sistema di monitoraggio già operante, per poter dare ai datori di lavoro il tempo di adeguarsi ai nuovi requisiti. Tuttavia, a causa delle tempistiche, le disposizioni transitorie non sono state integrate.
Pertanto, il 25 maggio 2018, i datori di lavoro si sono trovati di fronte al dilemma se disabilitare il monitoraggio fino a quando non fossero soddisfatti i nuovi requisiti o continuare a monitorare con il rischio di violare le norme vigenti. Indipendentemente dalla decisione presa, è diventato necessario attuare quanto prima gli attuali requisiti determinanti per la legalità del monitoraggio.
In primo luogo, sono state indicate chiaramente le finalità per le quali è possibile utilizzare il monitoraggio visivo, ossia nel caso in cui sia necessario garantire la sicurezza dei dipendenti o proteggere la proprietà o controllare la produzione o mantenere segrete le informazioni, la cui divulgazione potrebbe danneggiare il datore di lavoro.
In secondo luogo, sono esclusi dal monitoraggio i locali igienico-sanitari, gli spogliatoi, le mense, gli spazi per i fumatori nonché le sale messe a disposizione della rappresentanza sindacale aziendale; in tutti questi spazi il monitoraggio può essere utilizzato solo eccezionalmente, in specifiche condizioni.
In terzo luogo, la regola prevede che il datore di lavoro possa elaborare i dati ottenuti dal monitoraggio solo per gli scopi per i quali sono stati raccolti e conservarli per un periodo non superiore a 3 mesi dalla data di registrazione.
In quarto luogo, le finalità, la portata e le modalità di impiego del monitoraggio sono stabilite dal contratto collettivo o dal regolamento interno oppure da una comunicazione, qualora il datore di lavoro non sia coperto dal contratto collettivo o non sia obbligato a definire un regolamento interno.
In quinto luogo, il datore di lavoro informa i dipendenti in merito all’implemetazione del monitoraggio, secondo le modalità adottate dal medesimo, non più tardi di 2 settimane prima dell’avvio, inoltre, prima che il dipendente sia ammesso al lavoro gli comunica per iscritto le informazioni relative alle finalità e alle modalità di applicazione del monitoraggio.
In sesto luogo, il datore di lavoro segnala i locali e le aree monitorate in modo visibile e leggibile, mediante appositi cartelli o avvisi sonori, non oltre un giorno prima dell’avvio.
Infine, il datore è tenuto a soddisfare i requisiti previsti dagli articoli 12 e 13 del GDPR.
Ad eccezione del periodo di conservazione, i suddetti requisiti si applicano al monitoraggio della posta elettronica aziendale. Il monitoraggio della posta può essere attuato qualora sia indispensabile a garantire un’organizzazione lavorativa in grado di consentire il pieno sfruttamento dell’orario di lavoro e il corretto utilizzo degli strumenti di lavoro messi a disposizione del dipendente. Il monitoraggio della posta elettronica non può violare la segretezza della corrispondenza né altri diritti personali del dipendente. Questi requisiti si applicano anche ad altre forme di monitoraggio.
Autore: Jacek Wilczewski, consulente legale